Liste de critères de conformité à la Charte pour les structures candidates

Bonjour,

Suite à notre réunion virtuelle mensuelle, il a été proposé que nous préparions une « checklist » de critères à examiner lorsque nous étudions une nouvelle candidature, afin de s’assurer du respect de la Charte CHATONS par la structure candidate.

Dans l’idéal, cette liste serait communiquée à toutes les structures candidates de la portée 10 et permettrait aux membres du collectif de faciliter l’accompagnement de nouvelles structures pour les portées suivantes. Cela dépendra de l’avancement de cette liste jusqu’à la prochaine réunion virtuelle mensuelle.

La liste ci-dessous est basée sur un modèle de réponse pour nos audits / votes (42l) lors de la 9e portée, retravaillé. Il s’agit de notre tambouille, et c’est encore un brouillon incomplet que nous vous invitons à alimenter :slight_smile:

https://pad.rhizome-fai.net/2T57nI0KQBe8buSE3JrAnA?both

Nous vous invitons à éditer directement ce pad et à signaler/proposer vos modifications en réponse à ce message.

4 « J'aime »

Une liste assez complète et très précise, de quoi faire une bonne base !

Eventuellement, on peut rajouter l’excellent site du Mozilla Observatory qui cumule plusieurs autres tests en plus de CryptCheck pour vérifier un site. Je me permets d’ajouter le lien :slight_smile:

1 « J'aime »

C’est super. Merci @neil.

Proposition de faire un premier travail collaboratif sur le sujet ce mardi 21/04 à 17h15 sur mumble.chapril.org salon CHATONS.
Méthodologie :

  • copié/collé de la charte dans un pad ;
  • reformulation des points pertinents ;
  • intégration des éléments du modèle proposé par @neil ;
  • ajout des informations à fournir par le candidat.
1 « J'aime »

Je ne pourrai être présente car déjà en réunion, mais merci de cette proposition !

La réunion s’est bien passée mais le résultat consiste en plus de questions que de réponses. C’est bien aussi, ça permet d’étendre la réflexion.
Quelques notes :

  • 3 besoins différents :
    • vision du candidat : qu’ai-je à vérifier pour que ma candidature soit conforme ?
    • vision candidat vers auditeur : quelles informations le candidats doit-il fournir pour faciliter la tâche aux auditeurs ?
    • vision de l’auditeur : qu’ai-je à vérifier pour valider une candidature ?
  • 3 documents ou 1 seul, on verra bien, pour l’instant ça serait bien de lister les items ;
  • tout document/checklist reste optionnel, c’est un support qui ne se substitue par à l’évaluation par les membre ;
  • formulation : éviter de reprendre mot-à-mot la charte, choisir des énoncés factuels et directs ;
  • éviter des formulations trop impératives, de toute façon chaque auditeur évaluera à sa façon les items ;
  • regroupement des items :
    • en suivant les thèmes de la charte (C.H.A.T.O.N.S.) :
      • immédiateté de la légitimité d’un item puisque rattaché explicitement à la charte
    • par thème libre :
      • moins contraignant et rattachement à la charte toujours possible avec un indicateur

J’invite @neil à compléter si besoin. Merci à vous pour l’échange très enrichissant :smile_cat:
À suivre donc…

Bonjour,
Où est-ce que la liste en est ? est-elle encore à compléter ou à valider ?
Nous en reparlerons pendant la prochaine réunion mensuelle (mercredi 13 mai à 19h30) mais ce serait top que la liste soit la plus avancée possible, qu’il reste juste à la valider.
Merci à tous!

Bonjour,

Comme l’a bien résumé @Cpm, nous n’avons pas pu avancer comme nous le souhaitions lors de notre dernière réunion car nous avons dû nous poser quelques questions supplémentaires.

Nous allons ci-dessous reprendre ces questions et essayer d’y apporter une réponse :

Doit-on avoir 3 documents différents ou un seul ?

Nous pourrions avoir un seul document, qui soit une sorte de barème destiné aux auditeur·ice·s. Ce même document serait transmis aux structures candidates afin qu’elles portent un regard critique sur leur propre infrastructure.

Avoir plusieurs documents qui donnent les mêmes informations, mais sous des angles différents, risque de multiplier la charge de travail pour le collectif et de causer des incohérences entre ce qui est demandé aux structures candidates et ce qui est vérifié.

Doit-on regrouper les critères selon chaque mot de l’acronyme CHATONS ou par thème ?

Dans ce cadre, il nous semble plus pertinent de regrouper les critères par thème afin de privilégier la lisibilité du document, d’éviter toute redondance et de se permettre de détailler autant que nécessaire certains critères pour lesquels la Charte n’est pas assez précise, notamment au sujet de la sécurité ou de l’accessibilité, où il est nécessaire d’aborder les différentes bonnes pratiques existantes en détail pour vérifier, concrètement, si la structure « fait de son mieux » pour sécuriser son infrastructure, comme le préconise la Charte.

Nous avons ajouté une section supplémentaire « Candidature » pour lister les éléments que doivent fournir les futurs CHATONS dans leur candidature, afin de faire gagner du temps au collectif lors de l’audit et du vote. Nous avons également ajouté deux ou trois critères supplémentaires en provenance de la Charte.

Ce document doit être objectif et surtout, doit représenter l’avis du collectif dans son ensemble. Il ne peut aboutir sans l’aide et l’accord de ses membres.

Nous invitons donc les membres du collectif à examiner cette liste et à se prononcer à son sujet :slight_smile:

~ N&B

3 « J'aime »

Je bosse en ce moment sur les critères, je suis un peu perturbé de ne pas avoir de couleur pour savoir qu’est ce qui est changé et comment…

  • :exclamation: La structure doit proposer au moins un service au moment où la candidature est postée.

Ce n’est pas clair si pour la candidature il faut que les auditeurs puissent voir le service. Je pense notamment au CHATONS qui vendent l’accès au services et potentiellement installe le service par client.

Notre choix de CodiMD n’était peut-être pas très judicieux dans ce cas d’utilisation… Désolés ! La fonction « Historique » permet de savoir ce qui est changé et à quelle heure.

En effet, d’où les critères dans la section Services :

  • Un lien vers le service doit être donné sur le site web et doit être facilement accessible.
  • Dans le cadre du traitement de la candidature, au moins un service devrait être testable et accessible par les membres du collectif.

Cela pourrait cependant être précisé dans la section « Candidature » si besoin.

Merci pour ton travail :slight_smile:

Bonjour,

Pour commencer un disclamer: La structure a laquelle j’appartiens n’est pas un chatons ni même ,pour l’instant, un candidat chatons*. Du coup mon appréciation peut être biaisé ou déplacée.

Les sites web sont notés B ou plus.

Çà peut être problématique par exemple pour un site vitrine statique ou certains des critères de mozilla n’ont aucun sens. (sur un site entièrement statique se protéger des contenus des utilisateurs ou des attaques XSS n’a pas de raison d’être). Ça peut être vu comme une contrainte inutile/incomprise par un candidat. (pour les sites avec des services le problème ne se pose pas)

:information_source: Liste des paquets installés

Ce critère peut avoir du sens ou non selon l’architecture utilisé par le candidat. Pour un chatons comme ilinux qui utilise une infrastructure entièrement conteneurisé lister les paquets installés n’a pas vraiment de sens. Dans mon cas ou il y a beaucoup de vm (10 vm + 1 hyperviseur + 2 backup) pour peu de services lister exhaustivement tout les paquets risque d’être vitre très fastidieux. (sans compter qu’il risque d’être difficile de savoir quels paquets lister ou non)

Après je reste conscient que les critères sont évalués par des humains et peuvent dont être interprété/adaptés a chaque candidats. J’essaye juste de lever des objections sur lesquels réfléchir.

  • On ne considère pas avoir la maturité technique pour ça

Bonjour Meewan,

Merci pour ton avis enrichissant :slight_smile:

On part du principe qu’un CHATONS va obligatoirement héberger au moins un service. Ce service ne sera très probablement pas un site statique et pourrait même stocker des données personnelles.

Effectivement, cela nécessite un minimum de compétences (bien que le travail consiste juste en l’ajout de quelques lignes dans un fichier de configuration), tout comme l’hébergement d’un service, ou même d’un site web statique. Pourtant, la mise en place d’une connexion HTTPS nous semble assez indispensable en 2020, même pour un site statique, pour limiter la quantité de données interceptées par un tiers (personne en réseau, gouvernement, etc.).

Et quitte à mettre en place HTTPS, autant le faire comme il faut :slight_smile: C’est tout l’avantage de pouvoir se faire auditer par d’autres membres du collectif, on vous accompagne dans cette démarche, on vous aide à respecter ces bonnes pratiques.

Tu as tout à fait raison, mais cette liste de critères reflète avant tout la Charte.

Section « Ouverts », critère requis :

le CHATON s’engage, sur demande, à fournir la liste des paquets installés sur les serveurs hébergeant les services fournis aux utilisateurs et utilisatrices ;

Comme tu l’as souligné, si la structure candidate conteneurise ses applications, ça n’a plus de sens. Mais on essaye de couvrir un cas d’utilisation général ; si la configuration de la structure candidate sort de l’ordinaire, il reviendra aux membres qui effectueront l’audit de demander des renseignements supplémentaires.

Certaines membres du collectif ont littéralement effectué un dpkg --list et publié le résultat sur leur site web. Même avec 10 VMs, ça devrait se faire :slight_smile: À la limite, en masquant les numéros de version des paquets.
En tout cas je suis d’accord que la pertinence de ce critère est discutable, mais ce débat porte sur la légitimité de la Charte, pas de cette liste de critères.

~Neil

Je travaille encore sur ce document, et là j’aimerais que l’ensemble des points requis de la charte soient vérifiés (avec un ordre de priorité pour éviter de faire une évaluation complète si les basiques ne sont pas respectés). En l’état le document dissémine un peu partout des points de la charte dans des thématiques différentes. Certains points de la charte disparaissent totalement et d’autres deviennent plus pré-pondérant.

Du coup, je me demande si on ne devrait pas plutôt, mettre les points de la charte et en dessous mettre
les « détails de conformité » à respecter. On pourrait ainsi faire des liens, entre les points de la charte et leurs détails éventuels.

L’avantage c’est qu’on évite l’écueil où l’on se concentrerait plus que sur la liste de conformité et on évite devoir recopier tous les points de la charte dans la liste de conformité…

Je vais essayer de faire un brouillon de ça.

Bon finalement j’ai réussi à fusionner les 2. https://pad.rhizome-fai.net/2T57nI0KQBe8buSE3JrAnA?both

Je propose donc un formulaire de candidature + la liste d’audit.

Je me suis basé sur les points requis de la charte pour déterminer les critères important, mais sans doute faut-il prioriser certains critères pour la vérification.

Dites-moi ce que vous en pensez.

3 « J'aime »

Merci @ljf !

Après une relecture :

:exclamation: Si le CHATON est contraint de communiquer via un réseau social centralisé ou privé, l’information est accessible par un autre biais.
Ressource utile: https://antipub.org/resistance-a-l-agression-publicitaire-s-infiltre-dans-les-reseaux-sociaux/

Bien que le critère semble justifié et qu’il soit pertinent de citer la charte de la RAP dans ce contexte, je ne crois pas que ce critère marqué comme « important » soit inscrit dans la charte CHATONS. Peut-être le marquer comme « optionnel » ?


:exclamation: Sur le site, il y a un lien vers le code source des services en cas de modification du code source du logiciel
:information_source: Sur le site, il y a un lien vers le code source des services même si ceux-ci ne sont pas modifié et que la licence ne l’oblige pas

Je me suis permis de fusionner ces deux critères en « Sur le site, il y a un lien vers le code source de chaque service ». C’est dans la Charte :

Le CHATON s’engage à rendre accessible le code source soit en publiant un lien vers le site officiel de l’application, soit, si ce dernier n’est plus disponible, en publiant le code utilisé.


  • :information_source: Si c’est une association, les statuts et RI ??? (à compléter)

Statuts et RI des associations

  • L’organisation et la gouvernance décrite est inclusive, capable de s’adapter aux différences et à valoriser la diversité en veillant à ce que les groupes marginalisés ou exclus soient parties prenantes dans les processus de développement ;

Je me suis permis de retirer ces critères, pour plusieurs raisons :

  • Il n’y a pas de raison que cela ne concerne que les associations, les entreprises disposent également de statuts et parfois d’un RI ;
  • La gestion administrative des structures qui hébergent un CHATONS peut être totalement déconnectée du CHATONS en lui-même ;
  • La souscription à des services à accès restreint au sein d’un CHATONS associatif ne nécessite pas forcément d’adhérer à l’association en question, donc n’impose pas nécessairement à ses utilisateur·ices de respecter ses statuts et son RI.
  • Le critère sur l’inclusion est plutôt abstrait alors que tous les autres critères de la liste sont concrets et facilement vérifiables (c’est le principe de fonctionner avec une checklist) ;
  • La Charte n’impose aucune obligation à ce sujet.

Mentions légales

Conformément à la loi
:information_source: Les Mentions légales sont accessibles depuis le site web du futur CHATON
:information_source: Les Mentions légales contiennent : liste des mentions obligatoires

Je ne comprends pas pourquoi ces critères sont devenus facultatifs, il s’agit d’une obligation légale.


  • :information_source: Il n’existe pas de témoignage décrivant un comportement malveillant de la part du futur CHATON

Je ne sais pas si ça vaut la peine d’officialiser un tel critère. Ce genre de débat doit avoir lieu sur la candidature, à la limite… mais je ne vois pas l’intérêt de mettre une case à cocher là-dessus.


A11y & services du CHATONS

:information_source: Le CHATON fait des Merge Request d’accessibilité sur les services mis en place

Un CHATONS étant avant tout hébergeur de services, pourquoi devrions-nous imposer ce critère ? Dans ce sens, devrions-nous imposer un critère « Le CHATON fait des Merge Request et participe activement au développement des services qu’il utilise » ? Je propose qu’on retire, ça sort de l’activité de CHATONS.

~ Neil

Hier soir, en réunion virtuelle mensuelle, il a été acté que la V1 de cette liste de critères de conformité devrait être terminée au plus tard le dimanche 17 mai 2020.

Je me permets de relancer les structures du collectif sur ce point afin qu’elles puissent donner leur avis et faire des commentaires d’ici cette date.

Lundi 18 mai, je publierai cette V1 sur le dépôt Git du collectif et fabriquerai un PDF éditable afin que les structures candidates puissent le compléter.

Pour rappel, l’analyse des candidatures pour la portée 10 commencera le 21 mai.

Ok pour mettre en optionnel le point sur l’alternative aux réseaux sociaux privateur.

Pour le point sur la publication du lien vers le code source. OK j’ai mal lu la charte, ce point étant caché dans le préambule de « Ouverts »… Ok pour que ce soit marqué comme important du coup.

Pour l’histoire des statuts, j’ai juste tenter d’introduire un élément de vérification concernant le point de charte suivant:

le CHATON s’engage à mettre en œuvre et à promouvoir une forme d’organisation et de gouvernance inclusive, capable de s’adapter aux différences et à valoriser la diversité en veillant à ce que les groupes marginalisés ou exclus soient parties prenantes dans les processus de développement ;

Mais tu as raison sur le fait que du coup ça pourrait concerner les entreprises (même si les statuts d’une boite n’ont pas grand chose à voir avec des statuts d’association, d’autant plus que beaucoup laisse un expert comptable les rédiger). Et effectivement ce point de charte ne parle pas spécifiquement des statuts.

=> on peut le supprimer

Sur les mentions légales, j’estime pour ma part que ce n’est pas notre rôle de vérifier si chaque point de la loi est valide. Sinon il faudrait parler du RGPD, et pour avoir mis en conformité ma société récemment, il est fort probable que quasiment aucun CHATON ne soit en conformité car c’est une réglementation très bureaucratique au final. De même, la loi avia sur le délais de réaction en 1h si la police demande le retrait d’éléments ne me semble pas spécialement être à vérifier par nous.

Pour les merge request sur l’accessibilité aux personnes avec un handicap, il y a quand même dans la charte:
« le CHATON s’engage à avoir une démarche active et volontaire en terme d’accès pour toutes et tous aux services proposés, notamment en respectant les normes d’accessibilité web ; »

Donc personnellement j’interprète ça comme, le chatons fait des efforts pour que les services en ligne qu’il propose soit accessible à toutes et tous. Améliorer l’accessibilité du service hébergé me semble parfaitement indiqué du coup. Par ailleurs c’est une suggestion pas un point « important ».

Bravo à tous les contributeurs de ce formulaire.
Cela me semble un très bon outil pour nous aider à évaluer un nouveau chatons.

Et même, en le lisant, c’est également un bon outil pour faire son auto-analyse de non-régression entant que chatons.
En effet, je sens que sur certains points j’ai des marges de progression.
En utilisant une telle check-list pour auditer un candidat, cela me permettra aussi de vérifier mes propres pratiques et ainsi me tirer vers le haut.

A tester donc pour une première version :slight_smile:

2 « J'aime »

Tout à fait d’accord sur le fait que respecter la RGPD, en pratique c’est compliqué. Sans même parler de la loi Avia.

Mais il y a une différence entre se mettre en conformité RGPD et ajouter une page de mentions légales… Ça ne prend même pas heure à rédiger et c’est facile à vérifier pour nous.

Je pense qu’on devrait vérifier ce point, dans l’intérêt de la structure. La litière donne également d’excellentes pistes pour rédiger ces mentions légales : https://wiki.chatons.org/doku.php/cgu_et_mentions_legales

Je ne vois pas en quoi ce texte serait moins important que les CGU/CGV. En tout cas, pour nous, ça représente clairement un motif valide pour un avis blanc / défavorable… J’invite les autres CHATONS à se prononcer sur la question.


Ok pour cette question de Merge Request, ma foi, c’est une interprétation valide de la Charte.


On a encore quelques items marqués TODO :

Engagement des adminsys

  • :information_source: Les personnes qui ont des accès administrateurs, bénévoles ou salariées, s’engagent sur une charte concernant des points de confidentialité et de prudence
    TODO comment une personne s’intégre dans le CHATON pour faire des opérations d’adminsys ? Quel compromis sécurité/inclusivité ?

Je ne vois pas trop comment on pourrait formuler ce critère avec un engagement concret, je propose qu’on supprime. Cela me semble redondant vis-à-vis du formulaire de candidature en bas de page, où la structure candidate s’engage à respecter des critères non vérifiables par le collectif. Ça allègera un peu la liste.


J’ai essayé de rédiger les autres items (il y avait quatre autres items marqués TODO), voir l’historique. J’ai également apporté quelques modifications au formulaire, dites moi si cela convient.

~ Neil

Je crois que ce que veut dire @ljf, c’est que la charte des CHATONS n’a pas à paraphraser la loi, ni à contrôler son respect.

D’une part, pour la plupart des cas de chatons, ce serait redondant.

D’autre part, il existe des chatons qui refusent de respecter certains points légaux, et ça les regarde eux et les autorités ; selon moi, ils peuvent rentrer dans le collectif s’ils respectent la charte.

Il y aurait un problème si la charte obligeait à respecter la loi.

Dans le cas des mentions légales, celles-ci consistent en tout premier lieu à identifier facilement le, la ou les responsables…Peut-être — je ne sais pas ! — qu’il y a des cas où un chaton ne souhaite pas être identifié facilement…

Je me souviens qu’il y a au moins un chaton qui refuse de s’identifier clairement. Il doit avoir ses raisons… ça ne regarde pas le collectif.

(En gros, ce qui regarde le collectif, c’est que nous soyons, selon toute probabilité, tous de petites structures indépendantes faisant tourner des logiciels libres.)

En bref, la loi c’est la loi, la charte c’est la charte.

2 « J'aime »